Die vor allem unter den Kids und Jugendlichen beliebte App TikTok des chinesischen Betreibers ByteDance wird schon seit längerem argwöhnisch betrachtet. Viele Datenschützer haben die App für Kurzvideos und Playback-Aufnahmen schon vor über einem halben Jahr kritisiert.
Denn der Nachfolger von musical.ly wirft einige rechtliche Fragen auf. Allen voran wird die Konformität der Rechtsgrundlage der kaum überschaubaren Datenverarbeitung von den Kritikern angezweifelt, die hier durch die Einwilligung des Nutzers konstruiert worden ist (wir berichteten). Der Betreiber aus Peking analysiert das gesamte Nutzerverhalten und hat Fingerprinting Skripte im Einsatz. Die Daten der Nutzer sollen – wie auch bei anderen Social Media Angeboten üblich – mit mehreren tausend Werbepartnern geteilt werden.
Daneben bestehen in vielen Ländern auch Bedenken hinsichtlich des Jugendschutzes bei TikTok, wenn die jungen Nutzerinnen und Nutzer persönliche Videos – beispielsweise aus dem Kinderzimmer oder Urlaub – aufnehmen und mit 800 Millionen TikTok-Nutzern aus der gesamten Welt teilen und sich darüber über die eingebaute Chat-Funktion austauschen können. Kontrollmechanismen bestehen kaum und die User sind oftmals unter 13 Jahre alt. Auch In-App-Käufe und virtuelle Geschenke, die zu Missbrauch und Haftung der Kids (und deren Eltern) führen können, sind bereits beanstandet worden.
Weitere Klage in den USA
Derzeit muss sich die Firma hinter TikTok – ByteDance –in den US erneut vor einem Gericht verteidigen. In einer Sammelklage gehen mehreren Eltern gegen TikTok vor. Die App habe die jungen Nutzer nicht entsprechend geschützt und ferner auch die Daten der Kinder unter 13 Jahren gesammelt sowie weiterverkauft, ohne dass die Eltern hierin eingewilligt hätten. Auch die „FTC“, eine US-amerikanische Bundesbehörde, die eine Art „Wettbewerbs- und Verbraucherschutzbehörde“ darstellt, bemängelte den Jugendschutz der App, da Erwachsene dort ungehindert fremde Kinder direkt anschreiben könnten. Bereits im Februar 2019 hatte sich ByteDance wegen Verstößen gegen die Jugendschutzgesetze in den USA mit der FTC gegen eine Strafzahlung in Höhe von 5,7 Million Dollar außergerichtlich verglichen.
Forderungen nach einem angemessenen Altersverifikationsverfahren wie auch besseren Einstellungen zum Jugendschutz innerhalb der Anwendung werden laut.
Verdacht der Diskriminierung und Zensur
In den vergangenen Tagen nahm die Brisanz in der Medienberichterstattung über TikTok noch zu. Berichte von TicToc-Mitarbeitern und offenbar eigene Versuche und Beobachtungen von Journalisten brachten zu Tage, dass der Betreiber ByteDance auf diverse integrierte und organisierte Filterungsmethoden zurück greift und auch Inhalte löscht, um eine vermeintlich positive Atmosphäre in der Szene zu erreichen. Nicht nur chinakritische und politische Inhalte werden überprüft und ggfs. ausgeblendet oder gelöscht (nach einem sog. „Shadow-ban System“). Gefiltert werden auch Videos von Nutzerinnen und Nutzer allein auf Grund eines selbstdefinierten Schönheitsbildes bzw. zum „Schutz vor Mobbing“, was vor allem Menschen mit Behinderungen und Homosexuelle trifft. Insgesamt werde in einem mehrstufigen Modell die Reichweite bis hin zur Isolation und Löschung der Inhalte gesteuert. Dieses sei nach Meinung Vieler eine Form der Zensur und Diskriminierung von unterschiedlichen Menschengruppen.
Inwieweit neben diesen Mechanismen ohnehin systemimmanente Algorithmen für die Steuerung von Relevanz und Prominenz von Videos und nutzergenierten Inhalten aktiv sind und die Wahrnehmung von Inhalten und Zugang zu Informationen beeinflussen, darüber lässt sich nur spekulieren.
Unternehmen und Anbieter präsentieren sich (noch)
Aller juristischen Bedenken zum Trotz verzeichnet TikTok einen weiteren Anstieg an Mitgliedern. Längst haben sich Unternehmen und sogar Behörden oder Rundfunkanstalten aus Deutschland diesem Trend angeschlossen und versuchen sich mit Inhalten in diesem jungen Netzwerk zu präsentieren. Selbst die „Tagesschau“ ist seit wenigen Tagen mit einem Profil in dieser Community aktiv und stellt kurze Videos bei TikTok ein. Auch die Bundeswehr hat sich mit Botschaften direkt wie auch indirekt durch spezielle, auf Hashtags bezogene Inhalte von Nutzern zur Schau gestellt.
Offenbar wurden diese Aktivitäten der Social Media Ressorts der öffentlichen Stellen nicht immer mit dem internen Datenschutzbeauftragten abgeklärt.
Denkbare Anforderungen aus der DSGVO
Die DSGVO flankiert zahlreiche datenschutzrechtliche Anforderungen, die grundsätzlich für jedes Unternehmen gelten, das sich im Sinne des Marktortprinzips inhaltliche mit seinem Angebot an Bürger eines europäischen Landes richtet.
Diese seien einmal kurz zu erwähnen: Neben dem Erfordernis der Rechtmäßigkeit der Datenverarbeitung nach Art. 6 DSGVO gilt es über den konkreten Umgang mit personenbezogenen Daten zu informieren (Art. 12-14 DSGVO). Diesem Transparenzgedanken wird der Betreiber von TikTok kaum gerecht. Weiterhin müssen die datenschutzrechtlichen Grundsätze wie beispielsweise der Grundsatz der Datenminimierung und der Zweckbindung gewahrt werden (Art. 5 DSGVO). Und neben der Wahrung von Betroffenenrechten (Art. 15ff DSGVO) sind geeignete technisch-organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung zu treffen (Art. 32 DSGVO).
Im Besonderen muss der Betreiber einer solchen App auch die Grundsätze von „privacy by design“ und „privacy by default“ (Art. 25 DSGVO) einhalten, womit bereits bei der Entwicklung der Software geeignete Vorkehrungen zum Datenschutz innerhalb des Systems berücksichtigt und integriert werden sollen, und so beispielsweise Funktionen wie Tracking oder GPS-Standortdienste nicht von Beginn an aktiviert sind, sondern erst vom Nutzer aktiviert werden müssen.
Ermöglicht eine derart weitverbreitete App sogar eine systematische Überwachung von Nutzern und werden weitrechend sensible Daten von diesen ohne deren Kenntnis verarbeitet, könnte das Erfordernis einer umfassenderen Risikobewertung aufgrund von Art. 35 DSGVO in Form einer Datenschutz-Folgenabschätzung zumindest angedacht werden. Unter Umständen steht sogar der Inhaber eines kommerziellen TikTok-Profils selbst in der Pflicht, wenn er durch den ausgiebigen Einsatz systemimmanenter Tracking- und Analysetools die Nutzeraktivitäten weitreichend auswerten kann und deshalb in eine gemeinsame Verantwortlichkeit mit dem Betreiber ByteDance (Art 26 DSGVO) geraten könnte (ähnlich wie beim Betrieb einer Facebook Fanpage).